클러스터의 보안 설정 업데이트 - Amazon Managed Streaming for Apache Kafka

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클러스터의 보안 설정 업데이트

이 Amazon MSK 작업을 사용하여 MSK 클러스터의 인증 및 클라이언트 브로커 암호화 설정을 업데이트할 수 있습니다. 상호 TLS 인증을 위해 인증서에 서명하는 데 사용되는 사설 보안 기관을 업데이트할 수도 있습니다. 클러스터 내 (broker-to-broker) 암호화 설정은 변경할 수 없습니다.

클러스터가 보안 설정을 업데이트할 수 있는ACTIVE 상태여야 합니다.

IAM, SASL 또는 TLS를 사용하여 인증을 활성화하는 경우 클라이언트와 브로커 간의 암호화도 켜야 합니다. 다음 표에는 가능한 조합이 나와 있습니다.

인증 클라이언트-브로커 암호화 옵션 브로커-브로커 암호화
Unauthenticated TLS, 일반 텍스트, TLS_일반 텍스트 켜거나 끌 수 있습니다.
MTL TLS, TLS_일반 텍스트 켜여야 합니다.
SASL/SCRAM TLS 켜여야 합니다.
S/IAM TLS 켜여야 합니다.

클라이언트-브로커 암호화가 로TLS_PLAINTEXT 설정되고 클라이언트 인증이 로mTLS 설정된 경우 Amazon MSK는 클라이언트가 연결할 두 가지 유형의 리스너를 생성합니다. 하나는 클라이언트가 TLS 암호화를 사용한 mTLS 인증을 사용하여 연결하는 리스너이고 다른 하나는 클라이언트가 인증 없이 연결하는 리스너입니다.암호화 (일반 텍스트).

보안 설정에 대한 자세한 내용은 단원을 참조하세요Amazon Managed Streaming for Apache Kafka.

를 사용하여 클러스터의 보안 설정 업데이트AWS Management Console

  1. 에서 아마존 MSK 콘솔을 엽니다https://console.aws.amazon.com/msk/.

  2. 업데이트할 MSK 클러스터를 선택합니다.

  3. 보안 설정 섹션에서 편집을 선택합니다.

  4. 클러스터에 대해 원하는 인증 및 암호화 설정을 선택한 다음 변경 사항 저장을 선택합니다.

를 사용하여 클러스터의 보안 설정 업데이트AWS CLI

  1. 클러스터에 적용할 암호화 설정이 포함된 JSON 파일을 생성합니다. 다음은 예입니다.

    참고

    클라이언트-브로커 암호화 설정만 업데이트할 수 있습니다. 클러스터 내 (broker-to-broker) 암호화 설정을 업데이트할 수 없습니다.

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}
  2. 클러스터에 적용할 인증 설정을 포함하는 JSON 파일을 생성합니다. 다음은 예입니다.

    {"Sasl":{"Scram":{"Enabled":true}}}
  3. 다음 AWS CLI 명령을 실행합니다.

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    update-security 작업의 출력은 다음 JSON과 같습니다.

    { "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
  4. update-security작업 상태를 보려면 명령 출력에서 가져온 ClusterOperationArnARN으로 대체하여 다음update-security 명령을 실행합니다.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    describe-cluster-operation 명령의 출력은 다음 JSON 예제와 같습니다.

    { "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }

    OperationState값이PENDING 또는UPDATE_IN_PROGRESS 인 경우 잠시 기다린 다음describe-cluster-operation 명령을 다시 실행합니다.

API를 사용하여 클러스터의 보안 설정 업데이트

API를 사용하여 클러스터의 보안 설정을 업데이트하려면 을 참조하십시오 UpdateSecurity.

참고

클러스터의 보안 설정을 업데이트하기 위한AWS CLI 및 API 작업은 동일하지 않습니다. 즉, 보안 업데이트 작업을 호출하고 클러스터의 현재 설정과 동일한 인증 또는 암호화 설정을 지정해도 해당 설정은 변경되지 않습니다.